Foro Wifi-libre.com

¡Verano muy caliente!

Prediciendo, "abusando" y descifrando las llaves de grupo WPA2/802.11*

* Predicting, Decrypting, and Abusing WPA2/802.11 Group Keys de Mathy VANHOEF y Frank PIESSENS @ USENIX
 
  ¿Estoy soñando? Creo que no... Acabo de pincharme varias veces y tengo hambre.
     Nunca tengo hambre en mis sueños.
Entonces todo esto es real:
Tenemos entre manos un PDF (link arriba) que presenta al mundo lo que podemos objetivamente considerar como la primera brecha WPA2 de la historia.
   Una brecha explotable con material normal y corriente.
    Una brecha potencialmente de gran amplitud: El ataque fue exitoso contra  los dos tipos de chipsets WiFi estudiados; los Broadcom y los Mediatek (aka Ralink)

  No voy a resumir aquí un PDF universitario de 17 paginas antes de todo porque me haría falta volver a leerlo otra y otra vez y de todo modo no llegaría a entender los detalles de las operaciones matemáticas sin que me las explican en detalle..
  Lo que voy a (intentar) hacer es poner el PDF en perspectiva y dar elementos para entender la sustancia del proceso
Para que los más ignorantes (como yo), los que no tienen un diploma de la universidad de Lavania (es la universidad dónde investigan los autores) se hagan una idea sobre lo que acaba de ocurrir.     
  Abrochen el cinturón, nos vamos de excursión en le mundo post apocalíptico WiFi   
   

RC4 NO MORE!

  Mathy VANHOEF y Frank PIESSENS no son unos desconocidos.
   Ya habían llamado la atención con su ataque contra el WPA(1) con TKIP utilizando la debilidad del algoritmo de cifrado RC4: craking rc4 wpa-tkip
   El cifrado rc4 es inseguro ( ilustración con el ataque DROWN:      DROWN: El ataque contra https que afecta 33% de los sitios de la web )
Lo hemos aprendido con el protocolo WEP que es vulnerables a ataques estadísticos 
  Para hacer seguras las redes wifi se ha pasado a WPA pero se ha diseñado varios tipos de WPA.
Uno de estos protocolos fue pensado para permitir la compatibilidad con los puntos de accesos con WEP que no podían manejar el algoritmo de cifrado  AES-CCMP (seguro)
  Así que se montó un WPA híbrido (WPA-TKIP - se refiere a veces a WPA1) que emplea el algoritmo de cifrado RC4 sabiendo que era potencialmente peligroso y que con las mejoras del hardware y de la potencia de calculo sus días eran contados.
  Desde entonces se han publicado trabajos y incluso publicado  herramientas (tkipun-ng) para desarrollar ataques contra el protocolo en si.
  Esta vez los dos investigadores han enfocado de otra forma su estudio.
  No han buscado una debilidad en la PMK (la lave maestra) sino en las llaves de grupos (GMK, GTK)

El talón de Aquilea: El fabricante

  No se si fueron inspirados por el ataque pixiewps pero veréis que hay unas similitudes muy llamativas entre ambos casos.
La estrategia empleada es la misma: Buscar una vulnerabilidad debida a la implementación por parte del fabricante (de chipset wifi)
  Adivinar que: Otra vez los fabricantes fueron negligente a la hora  de "randomisar" las cosas.   
  Es decir: emplearon generadores de números aleatorios previsibles. 
  Lo "curioso" es que como en el caso pixiewps sobre realtek no tuvieron otra idea que emplear el tiempo para cifrar a un momento.   
  Con lo cuál han hecho factible el brute force de las llaves de trabajo.
En el caso broadcom son 2³³ ashes md5: 4 minutos con una beuna tarjeta vídeo 
 

Rogue AP para forzar un "downgrade" WPA

  Acabo de hablar de romper el WPA-TKIP pero hablo en el titulo de cifrado WPA2.
No estoy loco, se trata bien de romper protocolo WPA2.
  Para ello es necesario tener un buen adaptador wifi como los que nos gustan  y usar la buena vieja técnica del Rogue AP
  Un Rogue AP es simplemente un punto de acceso falso que podemos crear en una linea de ordenes con airbase-ng
  Debemos crear un punto de acceso con exactamente el mismo bssid (porque estas cadenas se emplean para en el cifrado WPA)
  La única diferencia es que se emplea  cifrado WPA-TKIP en lugar de un WPA con AES  forzando  así a usar RC4 para la creación de las llaves de grupo (que se puede romper como acabamos de ver)
 

Inyectar tramas Unicast con la GMK en lugar de la PMK

  Normalmente no deberíamos poder inyectar trafico sin la PMK porque el cliente no la entendería (le descifrara con la PMK) 
No obstante los investigadores fueron capaces de inyectar paquetes cifrado con la GMK utilizando esta estructura en el encapsulado
addr1 = FF:FF:FF:FF:FF:FF
addr2 = Spoofed sender MAC address
addr3 = Spoofed destination MAC address
  El AP descifra el paquete con la GMK, lo vuelve a cifrar esta vez con la PMK y lo devuelve.
  Podemos cifrar correctamente paquetes sin conocer la PMK utilizando el AP de "traductor"
Se pueden inyectar así paquetes ARP, paquetes IP etc...

Envenenamiento ARP para "downgrade" GMK general

  El punto final del ataque consiste en forzar el cifrado de todo el trafico con la GMK en lugar de la PMK
Se engaña la station para que mande el trafico a su propia dirección mac
De este modo no se cifran los pauquetes con la PMK sino la GMK
  Se hace con envenenamiento de la cache ARP del cliente
El resultado es que la sation usará como dirección para la puerta de enlace  su propia dirección mac (obteniendo así que se cifre con la GMK en lugar de la PMK)

Conclusión

-------------------------------- EDIT ------------------ ERRATUM -----------------------
Algo se me había escapado cuando he redactado el tema y la conclusión no es esta.
Es esta: mensaje 6

  Se trata de la amenaza la más seria contra el WPA2 (y el WPA1) que podría revolucionar los ataques WiFi con Rogue AP y Man In The Middle
  Los investigadores han logrado

1. We show that the 802.11 random number generator is flawed, and break several implementations bypredicting its output, and hence also the group key.
   Encontrar unas vulnerabilidades que permiten predecir los resultados  de los generados de números pseudo aleatorios estudiados (OpenWRT y hostapd se salvan)

2. We present a downgrade-style attack against the 4-way handshake, allowing one to recover the group key by exploiting weaknesses in the RC4 cipher.
   Poner de pie un ataque Rogue AP para forzar el downgrade de WPA2 a WPA1. Se negocia así el handshake usando el cifrado vulnerable RC4 cuyos resultados son predecibles al momento de crear las llaves de grupo GMK, GTK...(las derivan con un briute force de entre 2 y 4 minutos con nvidia GTX980)

3. We show that the group key can be used to inject and decrypt any (internet) traffic in a Wi-Fi network.
   Han demostrado que con esta llave de grupo pueden inyectar y finalmente descifrar todo el trafico WiFi en una red

4. We propose and study a random number generator that extracts randomness from the wireless channel
   Proponen como solución otro generador de números aleatorios

-------------------------------- EDIT ------------------ ERRATUM -----------------------
Algo se me había escapado cuando he redactado el tema y la conclusión no es esta.
Es esta: mensaje 6

  La solución propuesta es útil para impedir el ataque en nuevas unidades.
¿Que pasa con la mayoría de los PA ya en actividad?
  Fueron puestos en servicio por los ISP y el cliente final no tiene otro recurso que esperar a que el ISP implemente este genrador en une futura actualización 
   Muchos routeurs de Telefónica, Orange y Vodafone llevan un chispet broadcom o ralink. 
   Jazztell sería menos tocado a primera vista porque los routers ZTE empelados en los últimos años levan un chispet WiFI realtek.
      Esto dicho sabemos que  el generador Realtek para el intercambio Diffie Hellman utiliza... la fecha en segundo (brecha pixiewps realtek)
      No es una buena señal porque es probable que se use el mismo generador o una variante basándose también en el "tiempo" ,
La primera vulnerabilidad del WPA2. Forzando el downgrade; pero en este juego todo vale.
     Se anuncia un verano muy caliente...

-------------------------------- EDIT ------------------ ERRATUM -----------------------
Algo se me había escapado cuando he redactado el tema y la conclusión no es esta.
Es esta: mensage 6